一个此前未被记录的威胁活动组织自2025年12月以来一直在针对美国教育和医疗保健部门进行恶意攻击活动。
思科Talos将这一攻击活动命名为UAT-10027。攻击的最终目标是部署一个前所未见的后门程序Dohdoor。
"Dohdoor利用DNS-over-HTTPS(DoH)技术进行命令控制通信,并具备下载和反射执行其他载荷二进制文件的能力,"安全研究员Alex Karkins和Chetan Raghuprasad在向The Hacker News分享的技术报告中表示。
尽管该攻击活动的初始访问途径目前尚不清楚,但疑似涉及使用社会工程钓鱼技术,导致PowerShell脚本的执行。
该脚本随后从远程暂存服务器下载并运行Windows批处理脚本,进而促进下载名为"propsys.dll"或"batmeter.dll"的恶意Windows动态链接库(DLL)。
DLL载荷(即Dohdoor)通过合法的Windows可执行文件(如"Fondue.exe"、"mblctr.exe"和"ScreenClippingHost.exe")使用DLL侧加载技术启动。植入程序创建的后门访问被用于直接将下一阶段载荷检索到受害者内存中并执行。该载荷被评估为Cobalt Strike Beacon。
"威胁行为者将命令控制服务器隐藏在Cloudflare基础设施后面,确保从受害者机器发出的所有出站通信看起来都是发往可信全球IP地址的合法HTTPS流量,"Talos表示。
"这种技术绕过了基于DNS的检测系统、DNS沉洞和网络流量分析工具对可疑域名查询的监控,确保恶意软件的命令控制通信能够绕过传统网络安全基础设施的检测。"
研究还发现,Dohdoor通过解除系统调用挂钩来绕过端点检测和响应(EDR)解决方案,这些解决方案通过NTDLL.dll中的用户模式挂钩监控Windows API调用。
Raghuprasad告诉The Hacker News,"攻击者感染了几个教育机构,包括一所与其他几个机构相连的大学,这表明潜在的攻击面更广。此外,受影响的实体之一是一家医疗机构,专门从事老年护理。"
对该攻击活动的分析显示,迄今为止没有数据泄露的证据。尽管除了似乎是用于后门进入受害者环境的Cobalt Strike Beacon之外,没有观察到其他最终载荷,但研究人员补充说,基于受害者模式,UAT-10027的行为可能是由经济利益驱动的。
目前尚不清楚UAT-10027的幕后操控者是谁,但思科Talos表示,他们发现Dohdoor与LazarLoader之间存在一些战术相似性,后者是此前被识别为朝鲜黑客组织Lazarus用于攻击韩国的下载器。
"虽然UAT-10027的恶意软件与Lazarus组织在技术上存在重叠,但该攻击活动对教育和医疗保健部门的关注偏离了Lazarus典型的加密货币和国防目标特征,"Talos总结道。
"然而,朝鲜APT行为者曾使用Maui勒索软件攻击医疗保健部门,另一个朝鲜APT组织Kimsuky也曾攻击教育部门,这突出了UAT-10027与其他朝鲜APT在受害者选择上的重叠。"
Q&A
Q1:UAT-10027是什么组织?主要攻击哪些目标?
A:UAT-10027是思科Talos追踪的一个此前未被记录的威胁活动组织,自2025年12月以来一直针对美国的教育和医疗保健部门进行恶意攻击活动。
Q2:Dohdoor后门程序有什么特殊能力?
A:Dohdoor是一个全新的后门程序,利用DNS-over-HTTPS(DoH)技术进行命令控制通信,具备下载和反射执行其他载荷二进制文件的能力,并能通过解除系统调用挂钩绕过端点检测和响应解决方案。
Q3:这次攻击活动的最终目的是什么?
A:目前分析显示没有数据泄露证据,除了部署Cobalt Strike Beacon创建后门访问外,没有观察到其他最终载荷。研究人员认为基于受害者模式,UAT-10027的行为可能是由经济利益驱动的。
好文章,需要你的鼓励
市场研究公司Klue本月初遭黑客入侵,大量客户数据被窃。Klue表示正与黑客组织Icarus沟通,并相信对方正在删除所盗数据。受影响客户包括Gong、LastPass、HackerOne等多家知名企业。然而事态趋于复杂——另一黑客团伙声称从Icarus处获取了Klue客户数据,并向客户发出勒索威胁。Klue提醒客户勿向第二方支付赎金,并建议索取数据样本以核实其真实性。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。
苹果公司对OpenAI提起诉讼,指控其窃取商业机密。据披露,前苹果系统电气工程师刘畅(Chang Liu)在离职加入OpenAI后,利用一个此前未知的身份验证零日漏洞,持续数周从苹果内部网络存储中下载大量机密文件,内容涵盖未发布产品信息、工程演示文稿及技术规格等。苹果已修复该漏洞并终止相关访问权限。此案已提交加州北区联邦法院,并要求陪审团审判。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。